사용자 풀에 SAML 자격 증명 공급자 추가 - Amazon Cognito

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

사용자 풀에 SAML 자격 증명 공급자 추가

Microsoft Active Directory Federation Services (ADFS) 또는 Shibboleth 같은 SAML 자격 증명 공급자(IdP)를 통해 웹 및 모바일 앱 사용자가 로그인하게 할 수 있습니다. SAML 2.0 표준을 지원하는 SAML 자격 증명 공급자를 선택합니다.

내장된 호스트 웹 UI를 사용하여 Amazon Cognito가 모든 자격 증명 공급자의 모든 인증 사용자에 대한 토큰 처리 및 관리를 제공하기 때문에 사용자의 백엔드 시스템을 한 세트의 사용자 풀 토큰에서 표준화할 수 있습니다. AWS Management 콘솔에서 AWS CLI 또는 Amazon Cognito API 호출을 사용하여 SAML IdP를 생성하고 관리할 수 있습니다. 콘솔로 시작하려면 AWS Management 콘솔 을 사용하여 SAML 기반 자격 증명 공급자를 통해 사용자 풀에 로그인 추가 단원을 참조하십시오.


                소셜 로그인의 인증 개요
참고

타사(연동)를 통한 로그인을 Amazon Cognito 사용자 풀에서 사용할 수 있습니다. 이 기능은 Amazon Cognito 자격 증명 풀(연동 자격 증명)을 통한 연동과 무관합니다.

SAML 자격 증명 공급자를 업데이트하고, 이를 지원하도록 사용자 풀을 구성해야 합니다. SAML 2.0 자격 증명 공급자에 대한 신뢰 당사자 또는 애플리케이션으로서 사용자 풀을 추가하는 방법에 대한 내용은 SAML 자격 증명 공급자 설명서를 참조하십시오.

참고

Cognito는 80바이트보다 큰 relayState 값을 지원합니다. SAML 사양에는 relayState 값의 “길이가 80바이트를 초과해서는 안 된다”는 내용이 명시되어 있지만, 현재 업계 관행에는 이러한 동작에서 벗어나는 경우가 자주 있습니다. 결과적으로 80바이트를 초과하는 relayState를 거부하면 많은 표준 SAML 공급자 통합이 중단됩니다.

그리고 SAML 자격 증명 공급자에 어설션 소비자 엔드포인트를 제공해야 합니다. SAML 2.0 POST에 대해 이 엔드포인트를 구성하여 SAML 자격 증명 공급자를 바인딩합니다.

https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse

사용자 풀의 사용자 풀에 대한 도메인 접두어와 지역 값을 찾을 수 있습니다. 도메인 이름Amazon Cognito 콘솔.

일부 SAML 자격 증명 공급자의 경우 SP urn /대상 URI / SP 개체 ID를 다음 양식으로 제공해야 합니다.

urn:amazon:cognito:sp:<yourUserPoolID>

에서 사용자 풀 ID를 찾을 수 있습니다. 일반 설정Amazon Cognito 콘솔.

사용자 풀에 필요한 속성에 대한 속성 값을 제공하려면 SAML 자격 증명 공급자도 구성해야 합니다. 일반적으로 email은 사용자 풀에 대해 필요한 속성입니다. 이러한 경우 SAML 자격 증명 공급자는 SAML 어설션에 email 값(클레임)을 제공해야 합니다.

Amazon Cognito 사용자 풀은 사후 바인딩 엔드포인트와의 SAML 2.0 연동을 지원합니다. 사용자 풀이 사용자 에이전트를 통해 자격 증명 공급자로부터 직접 SAML 응답을 받으므로 앱에서 SAML 어설션 응답을 수신하거나 구문 분석을 할 필요가 없습니다. 사용자 풀은 애플리케이션을 대신하여 SP(서비스 공급자) 역할을 합니다. Amazon Cognito는 SAML V2.0 Technical Overview의 단원 5.1.2에 설명된 SP-initiated SSO(Single Sign-On)를 지원합니다.